El Fallo de Cloudflare Expuso Ampliamente las Ubicaciones de los Usuarios de la Aplicación de Chat

Un problema recientemente descubierto en la Red de Distribución de Contenido (CDN) de Cloudflare resalta cómo los atacantes podrían localizar la ubicación aproximada de un usuario de una aplicación de chat, según lo informado hoy por 404 Media.

El error permitía a los hackers determinar qué centro de datos de Cloudflare almacenaba en caché una imagen enviada a través de aplicaciones populares como Signal, Discord y Twitter/X. Al aprovecharse de esto, los atacantes podían inferir la ciudad o el estado de un usuario, aunque no su ubicación exacta.

La vulnerabilidad se centra en cómo opera el CDN de Cloudflare. Los CDN mejoran la entrega de contenido al almacenar en caché los datos en servidores en todo el mundo. Cuando se envía una imagen a través de una aplicación de chat, se almacena en el centro de datos más cercano al destinatario, según lo señalado por 404 Media.

Un joven investigador de seguridad de quince años llamado “daniel” creó una herramienta llamada Cloudflare Teleport para explotar este comportamiento. Al analizar qué centro de datos respondió a una consulta, la herramienta podría identificar la ubicación general del usuario, dice 404 Media.

404 Media explica que el hackeo se realizó explotando una serie de pasos. Primero, un atacante enviaría una imagen al objetivo a través de una aplicación de mensajería. Luego utilizarían Burp Suite, una herramienta de seguridad popular para aplicaciones web, para extraer la URL de la imagen subida.

A continuación, el atacante utilizó una herramienta personalizada para consultar todos los centros de datos de Cloudflare, comprobando dónde se había almacenado la imagen. Si un centro de datos específico devolvía una respuesta de “HIT”, indicaba la ubicación aproximada del objetivo.

En las pruebas, Daniel logró identificar con éxito la ubicación de los usuarios de Signal, incluso sin que ellos abrieran la imagen. Una notificación push podría precargar la imagen, haciendo posible inferir la ciudad o el estado de un usuario sin interacción directa, como informó 404 Media.

Esta vulnerabilidad genera preocupación para los usuarios que requieren anonimato, como activistas o informantes. Aunque los datos revelados son generales, subraya los posibles riesgos de la vigilancia en la capa de red. Usar una Red Privada Virtual (VPN) podría mitigar este problema, pero las VPNs conllevan sus propias limitaciones y riesgos, dice 404 Media.

404 Media señala que Cloudflare ha parcheado el problema específico explotado por la herramienta de Daniel, según Jackie Dutton, una representante senior de ciberseguridad en la empresa. Sin embargo, Daniel señaló que ataques similares siguen siendo posibles a través de métodos más laboriosos, como la redirección manual de solicitudes a través de una VPN a diferentes ubicaciones.

Aplicaciones de mensajería como Signal y Discord resaltaron las limitaciones inherentes de las CDN, destacando su necesidad para un rendimiento global. Signal, en particular, afirmó que su cifrado de extremo a extremo sigue sin verse afectado y recomendó VPNs para los usuarios que necesitan mayor anonimato.

Aunque se ha resuelto el problema inmediato, el incidente resalta los riesgos de privacidad constantes en las plataformas de comunicación digital. Los usuarios preocupados por la privacidad de su ubicación deberían considerar medidas de seguridad adicionales más allá de las que ofrecen las aplicaciones estándar.